Wenn Sie CEO, COO oder Unternehmerin/Unternehmer sind, ist „Data Governance“ nur dann relevant, wenn sie Klarheit schafft. Können Sie Ihre Daten nutzen, um Ihr Unternehmen souverän zu steuern – ohne rechtliche Stolperfallen, ohne Vertrauensverlust und ohne Diskussionen darüber, was Zahlen eigentlich bedeuten?
Ein einfacher Weg, Governance praxisnah zu machen, sind die 5 C’s.
Kurzer Hinweis: Es gibt kein einziges „offizielles“ oder universelles 5-C-Modell. Unterschiedliche Teams verwenden unterschiedliche Varianten. Das hier ist das Modell, das ich nutze, wenn Governance nützlich, skalierbar und menschlich sein soll.
Die 5 C’s
Clarity
Context
Control
Compliance
Care
Verstehen Sie die 5 C’s als ein zusammenhängendes System. Fehlt eines davon, werden die anderen instabil.
1) Clarity
Clarity beantwortet die zentrale Frage: Was bedeuten unsere Daten – und wer trägt die Verantwortung dafür?
Der Großteil von „Datenchaos“ entsteht genau hier. Nicht durch kaputte Pipelines, sondern durch unklare Bedeutung.
Clarity umfasst:
eine gemeinsame Sprache für zentrale Entitäten und Kennzahlen (Data Dictionary)
eine klare Festlegung der „Single Source of Truth“ für jede kritische Tatsache
eindeutige Verantwortlichkeiten (wer für Definitionen verantwortlich ist – nicht nur für technische Pipelines)
Ein schneller Clarity-Test:
Wählen Sie eine Kennzahl, zum Beispiel „verkaufte Einheiten“, und fragen Sie:
Welcher Zeitraum und welche Zeitzone gelten?
Was gilt als „verkauft“: Vertragsabschluss, Versand, Rechnungsstellung oder Zahlungseingang?
Wie werden Rückgaben behandelt?
Wer genehmigt Änderungen an dieser Definition?
Wenn Sie diese Fragen nicht zügig beantworten können, haben Sie kein Dashboard-Problem.
Sie haben eine Governance-Lücke.
2) Context
Context beantwortet die Frage: Woher stammen die Daten, was ist mit ihnen passiert und wie sollten sie interpretiert werden?
Context macht Daten sicher wiederverwendbar.
Er verhindert Situationen wie: „Wir haben die Tabelle kopiert, also muss sie dasselbe bedeuten.“
Context umfasst:
Lineage: wie Daten bewegt und transformiert wurden
Business Rules: Sonderfälle und Ausnahmen
Datentypen und Einschränkungen: welche Werte gültig sind
Aktualität und Frische: Erwartungen an zeitnahe Daten
Beispiel eines Fehlers (erfunden, aber realistisch):
Ein Team änderte eine Pipeline, um verspätet eintreffende Datensätze „zu korrigieren“. Die Zahlen sahen danach besser aus, aber der Vergleich von Quartal zu Quartal funktionierte nicht mehr. Niemand hatte die Änderung oder die neue Regel dokumentiert, sodass das Management das Vertrauen in die Reports verlor.
Lösung:
Transformationsschritte nachvollziehbar gestalten und die Business Rules dort dokumentieren, wo sie hingehören – nicht im Kopf einer einzelnen Person.
3) Control
Control beantwortet die Frage: Wer darf was mit Daten tun – und können wir es nachweisen?
Control ist Sicherheit plus Betriebssicherheit.
Hier hört Governance auf, nur ein Dokument zu sein, und wird zur technisch verankerten Realität.
Control umfasst:
rollenbasierte Zugriffe, ausgerichtet an den tatsächlichen Aufgaben
eindeutige Benutzerkonten (keine geteilten Admin-Konten)
Audit-Logs für sensible Aktionen
Nachvollziehbarkeit von Änderungen bei kritischen Datensätzen und Kennzahlen
automatisierte Kontrollen, wo möglich (manuelle Prüfungen skalieren nicht)
Praktische Faustregel:
Wenn eine Kontrolle davon abhängt, dass man „sich vorsichtig erinnert“, wird sie früher oder später versagen.
4) Compliance
Compliance beantwortet die Frage: Erfüllen wir unsere rechtlichen und regulatorischen Verpflichtungen auf nachweisbare Weise?
Compliance ist nicht gleich Governance –
aber Governance macht Compliance praktikabel und beherrschbar.
Compliance umfasst:
Datenklassifizierung (Sensitivität und Handhabungsregeln)
Aufbewahrungs- und Löschregeln
Einwilligungen und Zweckgrenzen, wo relevant
Nachweise für Audits (Logs, Aufzeichnungen, Genehmigungen, Richtlinien, die tatsächlich umgesetzt werden)
Beispiel eines Fehlers (erfunden):
Ein Unternehmen hatte „eine Richtlinie“ zur Aufbewahrung, aber keinen Mechanismus, um Löschungen durchzusetzen. Jahre später entdeckten sie, dass sie sensible historische Daten ohne geschäftlichen Bedarf speicherten – mit erhöhtem Risiko für Datenpannen und Audits.
Lösung:
Aufbewahrung muss operativ umgesetzt werden.
Eine Regel ohne Durchsetzung ist keine Regel.
5) Care
Care beantwortet die Frage: Auch wenn wir es könnten – sollten wir es?
Dies ist der Pfeiler, den die meisten Governance-Frameworks unterschätzen –
und er schützt das langfristige Vertrauen.
Care ist keine starre Moral. Es ist ein praktisches Engagement:
Wir handeln im Interesse der Menschen, deren Daten wir verarbeiten
Wir vermeiden Ausbeutung und Schaden, selbst wenn etwas technisch legal ist
Care umfasst:
Gestaltung respektvoller Standardeinstellungen (z. B. automatische Durchsetzung von Opt-outs)
Vermeidung von Dark Patterns (bewusst erschwerter Zugang zu Daten)
Verhinderung von „Governance als Überwachung“, insbesondere von Mitarbeitenden
Umgang mit Vertrauen als wertvolles Gut, das einmal verloren gehen kann
Beispiel eines Fehlers (erfunden):
Ein Unternehmen gewährte Kund:innen nur auf Anfrage Zugriff auf ihre Daten – per E-Mail mit einer Tabelle. Technisch möglich, aber absichtlich umständlich. Es war nicht skalierbar und signalisierte mangelnden Respekt.
Bessere Lösung:
Zugriff vorhersehbar, nutzbar und skalierbar gestalten.
Behandle es wie Produktqualität, nicht wie lästige Pflichtanfrage.
Minimum Viable 30-Tage-Plan mit den 5 C’s
Woche 1: Clarity
Wählen Sie 5–10 kritische Kennzahlen und Entitäten aus
Bestimmen Sie für jede einen verantwortlichen Business Owner
Formulieren Sie Definitionen in klarer, verständlicher Sprache
Woche 2: Context
Dokumentieren Sie die Datenherkunft (Lineage) auf einem „gut genug“-Level
Erfassen Sie wichtige Business Rules und Sonderfälle
Halten Sie Datentypen und Einschränkungen für kritische Felder fest
Woche 3: Control
Entfernen Sie geteilte Benutzerkonten in sensiblen Systemen
Aktivieren Sie Audit-Logs für kritische Aktionen
Implementieren Sie rollenbasierte Zugriffe für mindestens einen sensiblen Datensatz
Woche 4: Compliance & Care
Klassifizieren Sie kritische Datensätze
Definieren Sie Aufbewahrungsregeln und ein Mechanismus zur Durchsetzung
Führen Sie eine Care-Prüfung für neue Anwendungsfälle ein:
Wer könnte geschädigt werden?
Wie lässt sich das technisch umsetzen, ohne unethisch oder unangenehm zu sein?
Ein einfaches Scorecard-Tool für Leadership-Meetings
Für jeden kritischen Datensatz oder jede Kennzahl fragen Sie:
Clarity: Haben wir eine abgestimmte Definition und einen verantwortlichen Owner?
Context: Können wir Herkunft und Regeln erklären?
Control: Sind Zugriffe angemessen und auditierbar?
Compliance: Erfüllen wir Aufbewahrungs- und regulatorische Anforderungen?
Care: Respektieren wir die Menschen und nutzen keine Schlupflöcher aus?
Wenn Sie eine dieser Fragen nicht eindeutig beantworten können, ist das Ihr nächster Governance-Prioritätspunkt.
